访问控制列表（ACL）的应用

原创

zhengyanru 2013-05-22 12:32:25 博主文章分类：大型网络 ©著作权

文章标签 51cto 郑彦茹 ACL访问控制列表 文章分类 服务器

©著作权归作者所有：来自51CTO博客作者zhengyanru的原创作品，请联系作者获取转载授权，否则将追究法律责任

实验案列:访问控制列表（ACL）的应用

网络规划如下:

Ø公司全部使用192.168.0.0/16网段地址

Ø配置设备的网关地址,其中sw1为192.168.0.1/24,sw2为192.168.0.2/24,sw3为192.168.0.3/24,R1为1.1.1.1/32

ØPc1为网络管理区主机,其IP地址为 192.168.2.2/24,网关为192.168.2.1/24,属于vlan2,pc2

Ø为财务部主机,IP地址为192.168.3.2/24,网关为192.168.3.1/24,属于vlan3,pc3位信息安全员主机,IP地址为192.168.4.2/24,网关为192.168.4.1/24,属于vlan4

Ø在sw1交换机valn2接口的IP地址为192.168.2.1/24,vlan3接口的IP地址为19.168.3.1/24,vlan4接口的IP地址为192.168.4.1/24,vlan10接口的IP地址为192.168.100.1/24

Ø服务器的IP地址为192.168.100.2/24,网关为192.168.100.1/24,属于vlan100

ØSw1和R1的互联地址为10.0.0.0/30

Ø配置R1路由器的loopback接口地址为123.0.1.1/24,为外网地址

推荐步骤 :

1.配置设备,实现全网互通

2.配置ACL实现公司要求

3.配置完后查看sw1的配置信息

4.配置完成后验证

配置命令：

R1配置如下

R1（config）#int f0/0

R1 (config-if)#ip add 10.0.0.1 255.255.255.252

R1(config-if)#no sh

R1(config)int lo 0

R1(config-if)#ip add 123.0.1.1255.255.255.0

R1(config-if)#no sh

R1(config)#ip route 192.168.0.0 255.255.255.0 10.0.0.2 //配置到内网的静态路由

R1(config)#int flo 1

R1(config-if)#ip add 1.1.1.1 255.255.255.255

R1(config-if)#no sh

配置实现网络设备只允许网管区IP地址可以通过 TELNET登录,并配置设备用户名密码

R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255

R1(config)#username benet password 123

R1(config)#line vty 0 4

R1(config-line)#loging local

R1(config-line)#access-list 1 in

R1(config-line)#iexit

Sw1配置信息

Sw1(config)vlan 2

Sw1(config)vlan 3

Sw1(config)vlan 4

Sw1(config)vlan 100

Sw1(config)#int f0/1

Sw1(config-if)#no switchport //启用路由接口

Sw1(config-if)#ip add 10.0.0.2 255.255.255.252

Sw1(config-if)#no sh

Sw1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1 //配置到外网的默认路由

Sw1(config)#int range f0/23 -24

Sw1(config-if-range)#switchport trunk encapsulation dot1q

//配置trunk并指定接口的封装模式

Sw1(config-if-range)#switchport mode trunk

Sw1(config)#int vlan 2

Sw1(config-if)#ip add 192.168.2.1 255.255.255.0

Sw1(config-if)#no sh

Sw1(config)#int vlan 3

Sw1(config-if)#ip add 192.168.3.1 255.255.255.0

Sw1(config-if)#no sh

Sw1(config)#int vlan 4

Sw1(config-if)#ip add 192.168.4.1 255.255.255.0

Sw1(config-if)#no sh

Sw1(config)#int vlan 100

Sw1(config-if)#ip add 192.168.100.1 255.255.255.0

Sw1(config-if)#no sh

Sw1(config)#ip routing

Sw1(config)#int vlan 1

Sw1(config-if)#ip add 192.168.0.1 255.255.255.0

Sw1(config-if)#no sh

Sw2配置信息如下

Sw2(config)#vlan 2

Sw2(config)#vlan 3

Sw2(config)#vlan 4

Sw2(config)#int f0/24

Sw2(config-if)#switchport mode trunk

Sw2(config)#int f0/1

Sw2(config-if)# switchport access vlan 2

Sw2(config)#int f0/2

Sw2(config-if)# switchport access vlan 3

Sw2(config)#int f0/3

Sw2(config-if)# switchport access vlan 4

Sw2(config)#int vlan 1

Sw2(config-if)# ip add 192.168.0.2 255.255.255.0

Sw2(config)#ip default-gateway 192.168.0.1 //指定默认网关

Sw3的配置信息如下

Sw3 (config)#vlan 100

Sw3 (config-if)#exit

Sw3 (config)#int f0/24

Sw3 (config-if)# switchport mode trunk

Sw3 (config)#int f0/1

Sw3 (config-if)# switchport access vlan 100

Sw1(config)#int vlan 1

Sw1(config-if)#ip add 192.168.0.3 255.255.255.0

Sw1(config-if)#no sh

Sw2(config)#ip default-gateway 192.168.0.1 //指定默认网关

Sw1 sw2 sw3配置公司其他要求如下

//ACL100 表示内网主机都可以访问服务器，但只有网络管理员才能通过telnet ssh和远程桌面登录服务器，外网只能访问服务器的80 端口

Sw1(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2

//上述一条ACL表示：允许网络管理员网段192.168.2.0/24 访问互联网

Sw1（config）#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq te lnet

Sw1(config)access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22

Sw1(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389

//上述四条ACL表示:除192.168.2.0/24网段外其他所有网络地址均不能通过telnet ssh和远程桌面登录服务

Sw1(config)#access-list 100 permit ip 192.168.0.0 0.0.255.255 host 192.168.100.2

Sw1(config)#access-list 100 permit tcp any host 192.168.100.2 eq 80

//上述两条ACL表示:允许内网主机访问服务器的80端口

Sw1(config)#accesss-list 100 deny ip any any

Sw1(config)#interfacevlan 100

Sw1(config-if)#ip access-group 100 out //应用到out方向

Sw1(config-if)#exit

//ACL 101 表示192.168.3.0/24网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段,也不能访问外网

Sw1(config)#access-list 101 permit ip 192.168.3.0 0.0.255.255 host 192.168.100.2

Sw1(config0#access-list 101 permit ip 192.168.3.0 0.0.255.255 192.168.2.0 0.0.255.255

Sw1(config)#access-list 101 deny any any

Sw1(config)#interface vlan 3

Sw1(config-if)#ip access-group 101 in //应用到in方向

Sw1(config-if)#exit

//ACL 102 表示192.168.4.0/24网段主机可以访问服务器,可以网络管理员网段,但不能访问其他部门网段,可以访问外网(这里用于测试)

Sw1(config)#access-list 102 permit ip 192.168.4.0 0.0.255.255 host 192.168.100.2

Sw1(config)# access-list 102 permit ip 192.168.4.0 0.0.255.255 192.168.2.0 0.0.255.255

Sw1(config)# access-list 102 deny ip 192.1684.0 0.0.255.255 192.168.0.0 0.0.255.255

Sw1(config)# access-list 102 permit ip any any

Sw1(config)#interface valn 4

Sw1(config-if)#ip access-group 102 in

Sw1(config-if)#exit

Sw1#show ip access-list //查看ACL信息

用ping命令测试配置最后实现全网互通

下一篇：配置IP v6地址并设置rip

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯